Hvordan kan god trusselforståelse gi bedre risikobasert sikkerhetsstyring?
Virksomheter som ønsker å jobbe risikobasert med sikkerhet må ha god kunnskap om trusler. Beslutningstakere med god trusselforståelse kan prioritere ressurser til konkrete og målrettede tiltak, tilpasset de truslene virksomheten står overfor.
Skrevet av:
TL;DR
En risikobasert tilnærming til sikkerhetsstyring er avhengig av god trusselforståelse. For de fleste virksomheter handler det om å forstå de konkrete taktikkene og teknikkene som kan utnytte sårbarheter for å ramme verdier. Denne kunnskapen gir et beslutningsgrunnlag for å prioritere sikkerhetstiltak tilpasset de faktiske truslene organisasjonen står overfor. Sikkerhetstiltak forankret i trusselforståelse bidrar til bedre ressursprioritering i det forebyggende sikkerhetsarbeidet. En trusselvurdering er et godt sted å starte.
Kunnskap om trusler er grunnleggende for god sikkerhetsstyring
Tirsdag 9. mai mottok regjeringen NSMs Sikkerhetsfaglig råd. Rapporten favner bredt og beskriver utfordringer, trender og målsetninger for forsvarlig sikkerhet mot 2030. Sammen med Forsvarskommisjonen, Riksrevisjonens arbeid med digital sikkerhet i sivil sektor og Totalberedskapskommisjonen er rådet et viktig bidrag til offentlig debatt og politikkutforming i en sikkerhetspolitisk og sikkerhetsfaglig krevende tid. Dette innlegget handler om et enkelt, men grunnleggende, poeng i rapporten: trusselforståelse er grunnsteinen for virksomhetenes arbeid med risiko- og sikkerhetsstyring.
Tilgang til relevant trussel- og sikkerhetsinformasjon er avgjørende for virksomheters sikkerhetsarbeid og regelmessig oppdatering av risikovurderinger. Oppdatert trussel- og sikkerhetsinformasjon kan endre premissene for gjeldende risikovurdering og dermed fordre en ny vurdering med nye tiltak.
NSMs Sikkerhetsfaglig råd, 2023
Vi må forstå trusselbildet for å velge de rette tiltakene
Forståelse for trusselbildet er en forutsetning for å gjøre veloverveide sikkerhetstiltak basert på risiko. God trusseletterretning (Threat Intelligence) er en viktig inngangsverdi til risikovurderinger og hvordan virksomheten jobber med sikkerhet. Vi må forstå trusselbildet for å ta informerte valg om beskyttelsestiltak. Trusseletterretning må være en integrert del av risiko- og sikkerhetsstyringen i virksomhetene.
Vi må forstå den strategiske og sikkerhetspolitiske konteksten vi befinner oss i. Myndighetenes informasjon om utsatte sektorer og trusselaktørenes målsetninger er et startpunkt. Men det er ikke nok. De åpne sikkerhets- og trusselvurderingene fra myndighetene setter en viktig strategisk ramme, men kan ikke nødvendigvis omsettes av virksomheter til konkrete tiltak. Det underliggende informasjons- og datagrunnlaget er gjerne gradert og har et legitimt skjermingsbehov. Det er heller ikke slik at større innsikt i graderte data ville vært en fullgod løsning. EOS-tjenestene (etterretnings-, overvåkings- og sikkerhetstjeneste) sine mandater og oppdragsløsning overlapper i begrenset grad med informasjonsbehovet til de fleste private- og offentlige virksomheter.
Det er «typisk norsk å være god … på situasjonsbeskrivelse» ifølge administrerende direktør i IKT-Norge Øyvind Husby. Situasjonsforståelse i seg selv gir ikke beskyttelse, men det gir et informert grunnlag for handling. Vi må ha kunnskap om de konkrete taktikker og teknikker en angriper kan benytte mot oss for å kunne velge de mest hensiktsmessige mottiltakene. Vi trenger et faktabasert informasjonsgrunnlag for å vurdere hvilke trusler som kan utnytte våre sårbarheter for å ramme våre verdier.
For mange virksomheter er det ikke hensiktsmessig å fokusere på attribusjon, altså hvem som står bak et angrep eller utgjør en trussel. Trusselbildet er hele tiden i utvikling og attribusjon er teknisk krevende. Dessuten benyttes taktikker og teknikker på tvers av ulike aktører og aktørkategorier, som statlige etterretningstjenester og profesjonelle kriminelle grupper.
Attribusjon kan selvsagt være svært viktig for myndighetene. Eksempelvis vil det ved tap av konfidensialiteten til militære planer eller politiske beslutningsprosesser være relevant hvem som har fått tak i materialet. Ved sabotasje og destruktive cyberoperasjoner vil troverdig attribusjon kunne være avgjørende for en alliert respons. For de fleste norske virksomheter er imidlertid ikke attribusjon nødvendig for å vurdere hva som er relevante sikkerhetstiltak for å oppdage, forhindre og reagere på uønsket aktivitet. De har større behov for konkret og detaljert informasjon om selve virkemidlene en angriper kan benytte for å ramme dem. Attribusjon kan være verdifullt i etterforskningen av alvorlige hendelser, men det krever gjerne involvering fra spesialiserte forensics miljøer.
Robuste organisasjon jobber helhetlig og kontinuerlig med sikkerhetsstyring
Risikovurderinger og sikkerhetstiltak må endres oftere i takt med et stadig endret risikobilde.
Forsvarskommisjonen (NOU 2023:14)
Kunnskap om trusler er en hjørnestein i et proaktivt og kontinuerlig arbeid med sikkerhetsstyring. Dette fordrer robuste organisasjoner som er i stand til å jobbe kryssfunksjonelt med risiko, trusseletterretning og tekniske løsninger. Én tilnærming er å beskrive scenarioer, uttrykt som konkrete hendelser, som virksomheten kan bli utsatt for. Scenarioene gir et informert grunnlag for å utarbeide beskyttelsestiltak og sikkerhetsløsninger. Slik kan en risikobasert og helhetlig tilnærming til sikkerhet bygges lag på lag.
For å tydeliggjøre forholdet mellom trusler, sårbarheter og verdier kan vi se på risiko visualisert i et sløyfediagram. Diagrammet er et alternativ til den tradisjonelle risikotrekanten som viser sammenhengen mellom trusler, sårbarheter og verdier. Sløyfediagram brukes blant annet av Standard Norge for å visualisere risiko (NS 5814:2021). Modellen viser hvordan kunnskap om trusler er gjennomgående viktig i arbeidet med risiko. Spesielt når det kommer til deteksjon, valg av sikkerhetstiltak og hendelseshåndtering.
Still de rette spørsmålene om trusselbildet for din virksomhet
Toppledelsen har ansvar for å definere organisasjonens risikotoleranse. Hvilken risiko virksomheten står overfor er derfor et viktig informasjonsbehov. For at sikkerhetsorganisasjonen skal kunne svare ut behovet er det viktig at de konkretiserer og forvalter informasjonsbehov om trusselbildet gjennom en strukturert prosess (Information Requirement Management). Trusselforståelse er en viktig inngangsverdi til risikovurderingen, og risikovurderingen gir et grunnlag for å utarbeide nye informasjonsbehov om trusler.
Ledelsesforankring sikrer at arbeidet med trusseletterretning er knyttet til virksomhetens langsiktige sikkerhetsarbeid og er forankret i virksomhetens sikkerhetsmål. Å forvalte informasjonsbehov blir en del av risiko- og sikkerhetsstyringen.
Avsluttende tanker: Trusselforståelse kan bidra til god grunnsikring
Den endrete sikkerhetspolitiske situasjonen, forandringer i trusselbildet og den raske teknologiske utviklingen krever kontinuerlig arbeid med sikkerhet. Derfor må myndigheter og private aktører jobbe sammen, og samtidig ha god rolleforståelse.
Offentlige myndigheter bidrar med forklaringer på den overordnede sikkerhetspolitiske utviklingen og det strategiske trusselbildet. Myndighetenes utforming og oppfølging av lover og forskrifter er helt sentralt for at vi som samfunn skal lykkes med å ha den nødvendige sikkerheten på tvers av sektorer, og forsvare vår konkurransedyktighet internasjonalt. Departementenes arbeid med å kartlegge grunnleggende nasjonale funksjoner i tråd med sikkerhetsloven og forslaget til ny lov om digital sikkerhet er viktige prosesser.
Samtidig er det virksomhetenes eget ansvar å oppnå en god grunnsikring og forberede påbyggingstiltak ved endringer i trusselbildet. Det krever et helhetlig og risikobasert styringssystem for sikkerhet og tiltak som er tilpasset den faktiske trusselen. Kunnskap om trusselaktørenes taktikker og teknikker er avgjørende for å kunne gjøre veloverveide, tilpassede og konkrete sikkerhetstiltak.
| Trussel | «Tilsiktet handling som kan føre til en uønsket hendelse» (NS 5814:2021). |
| Sårbarheter |
“Weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source” (NIST). Forholdet mellom trusler og sårbarheter er komplekst og sjelden en-til-en. En sårbarhet kan potensielt utnyttes av flere trusler, og en trussel kan potensielt utnytte flere sårbarheter. Jakten på sårbarheter kan gjøres proaktiv gjennom tiltak som kontinuerlig sårbarhetsskanning. |
| Sannsynlighets-reduserende tiltak | Sikkerhetstiltak som har til hensikt å forhindre, detektere, forsinke eller stoppe en trussel (NS 5814:2021). Omtales også som kontrolltiltak. Hensikten er å redusere mulighetsrommet for å utnytte sårbarheter. Kunnskap om konkrete trusler gir bedre beslutningsgrunnlag for å velge riktige tiltak. Kontrolltiltak og tekniske sikkerhetsløsninger bør kunne knyttes til konkrete trusler og vurderte uønskede hendelser. Et eksempel på hvordan dette kan gjøres er mnemonics Sikkerhetsarkitektur for virksomheter. |
| Uønsket hendelse | «Hendelse som kan utsette en verdi for uønsket påvirkning» (NS 5830:2012). Her forstått som et scenario. Detaljgraden justeres etter behov. |
| Konsekvens-reduserende tiltak | Sikkerhetstiltak som skal redusere effekten av en hendelse, eksempelvis gjennom å respondere, begrense og gjenoppta (NS 5814:2021). Kunnskap om trusler kan bidra til at de riktige tiltakene fattes, og at beslutningsprosessene går raskere. Trusseletterretning kan integreres i rutinene for hendelseshåndtering. |
| Konsekvens for verdier | En uønsket hendelse kan ha flere konsekvenser for en virksomhets verdier. |
| Usikkerhet | Usikkerhet er grunnleggende å forholde seg til i arbeid med risiko og sikkerhet. Selv om vi kan redusere usikkerhet gjennom trusseletterretning og gode beslutningsprosesser vil det alltid være usikkerhet, og denne må kommuniseres til, og forstås av, ledelsen. |
Ta gjerne kontakt
